Android: Bots generieren über 750 Millionen Dollar mit Werbung

Fabian Vecellio del Monego
133 Kommentare
Android: Bots generieren über 750 Millionen Dollar mit Werbung
Bild: BuzzFeed

Durch die Analyse von Nutzerdaten wurde ein Bot-Netz aufgebaut, mit dem über 750 Millionen US-Dollar an Werbeeinnahmen generiert wurden, wie ein Bericht von BuzzFeed aufdeckt. Über 125 Apps kauften die Betrüger zu diesem Zweck auf, um anschließend von Bots aufgerufene Werbeanzeigen vergüten zu lassen.

Struktur aus Briefkastenfirmen und gefälschten Daten

Demnach hat die Firma „We Purchase Apps“ über die vergangenen Jahre zahlreiche Android-Apps aufgekauft, um sie für Betrugszwecke zu entfremden. Das Unternehmen basiert auf einem intransparenten Geflecht zahlreicher Briefkastenfirmen mit Standorten weltweit und dutzenden sorgfältig gefälschten Adressen und Mitarbeitern, an die die Eigentumsrechte der erworbenen Apps übertragen werden. Auch die Kundenbewertungen der aufgekauften Apps wurden gefälscht.

Eine Liste aller bisher bekannten betroffenen Programme stellt BuzzFeed zur Verfügung, Google bestätigte die Daten. Diese Apps sollen laut Angaben des Analysedienstes AppBrain über 115 Millionen Mal auf Android-Smartphones installiert worden sein. Es handelt sich hauptsächlich um auf Kinder und Jugendliche ausgerichtete Spiele oder triviale Dienstprogramme wie eine Taschenlampen-App mit Werbeeinbindung.

Manipulierte Apps sammelten Nutzerdaten

Zwar wurde die eigentliche Funktionalität der Applikationen beibehalten, fortan aber Nutzerdaten wie typische Eingaben wie Scrollvorgänge, Klicks an bestimmte Displaystellen oder Verwendungszeiten aufgezeichnet und an das Unternehmen weitergeleitet. Dabei kam den Betrügern neben der großen Nutzerbasis des Android-Betriebssystem auch der unregulierte Google Play Store zu Gute: Ein umfangreicher App-Review-Prozess, wie er in Apples App Store durchgeführt wird, entfällt. Zunächst aufgefallen ist dieses Verhalten Pixalate bei einzelnen Apps bereits im Juni dieses Jahres.

Authentisch agierende Bots klickten stets auf Werbung

Die erhobenen Nutzerdaten wurden gespeichert und analysiert. Anschließend wurden Bot-Netze mit den typischen Nutzungsmustern gefüttert, um fortan eine wachsende Zahl authentisch anmutender Zugriffe zu generieren. In Folge dessen stiegen die Page Impressions stark an, die suggeriert ausgelieferte Menge an in die entsprechenden Apps eingebetteten Anzeigen mit ihr. Angepasst wurde das kopierte menschliche Verhalten hinsichtlich der Klicks auf die Werbung, die die Bots stets durchführten. Darüber hinaus wurden versteckte Browser-Fenster mit Werbeanzeigen geöffnet und selbstständig wieder geschlossen.

Da zu dem ohnehin sehr authentischen künstlichen Traffic auch der echter Nutzer hinzukam, fiel das System lange Zeit nicht auf. Von BuzzFeed konsultierte Sicherheitsexperten bestätigten, dass es sich um den bisher größten bekanntgewordenen derartigen Betrug handelt. Das Vorgehen sei dabei überaus raffiniert und durchdacht.

This is not your run-of-the-mill fraud scheme. We are impressed with the complex methods that were used to build this fraud scheme and what’s equally as impressive is the ability of criminals to remain under the radar.

These bots are unique to this operation, mimicking real user behavior. The traffic is therefore a mix of real users inside a real app, and fake traffic. It’s clear to us that the people orchestrating this scheme are both familiar with the ad tech industry and with the mainstream data science approach to detecting ad fraud.

Asaf Greiner, CEO of Protected Media

Die Folge waren übermäßige Ausschüttungen für Werbung, die gar nicht beziehungsweise nur an Bots ausgeliefert wurde. Allein im vergangenen Quartal liege die geschätzte Summe bei über 750 Millionen US-Dollar, Insider aus Kreisen der Betrüger sprechen gar vom zehnfachen Betrag. Google selbst nennt einen Schaden in Höhe von rund 10 Millionen Dollar für Kunden des eigenen Werbenetzwerkes. Ob die betrogenen Unternehmen Entschädigungen erhalten können, bleibt offen. Für die betroffenen Nutzer der Apps selbst ist kein finanzieller Schaden entstanden; die erhobenen Daten können indes nicht nachvollzogen werden.

Google entfernt Apps und arbeitet an Erkennungsmechanismen

Nachdem der Fall bekannt wurde, hat Google sämtliche der bekannten betroffenen Apps dem Play Store entfernt und die zugehörigen Konten gesperrt. Das heißt jedoch nicht, dass ein solches System nicht weiterhin existieren oder erneut aufgebaut werden kann. Darüber hinaus lassen sich zahlreiche der Applikationen auch, den Play Store umgehend, über Webbrowser installieren. Wie Google in einem Blogbeitrag mitteilt, werde derzeit daran gearbeitet, solche Bot-Netzwerke zu erkennen und die ausgelieferte Werbung von vorneherein nicht zu entlohnen.

Fighting invalid traffic is essential for the long-term sustainability of the digital advertising ecosystem. We have an extensive internal system to filter out invalid traffic – from simple filters to large-scale machine learning models – and we collaborate with advertisers, agencies, publishers, ad tech companies, research institutions, law enforcement and other third party organizations to identify potential threats. We take all reports of questionable activity seriously, and when we find invalid traffic, we act quickly to remove it from our systems.

While our analysis of the operation is ongoing, we estimate that the dollar value of impacted Google advertiser spend across the apps and websites involved in the operation is under $10 million. The majority of impacted advertiser spend was from invalid traffic on inventory from non-Google, third-party ad networks.

Google

Auf Grund der verzweigten Firmenstrukturen, hohen Anzahl an Netzwerken und mehreren verwendeten Servern gilt es als äußerst unwahrscheinlich, dass der Betrug jemals wird geahndet werden können.

Nvidia GTC 2024 (18.–21. März 2024): ComputerBase ist vor Ort!